Burp Suite로 HTTP/HTTPS 요청·응답 가로채기 — 실무 가이드

Burp Suite로 HTTP/HTTPS 요청·응답 가로채기 — 실무 가이드

중요 공지 (법적·윤리적 고지)

Burp Suite는 보안테스트 도구입니다. *권한 없는 시스템·서비스에 대한 트래픽 가로채기·변조는 불법*입니다. 이 가이드는 합법적·윤리적 범위(자신 소유 또는 명시적 허가가 있는 테스트 대상)에 한해 따라하세요.

목차

• 준비물
• Burp 실행 및 기본 설정
• 브라우저 프록시 설정과 인증서 설치
• 요청 가로채기(Intercept)
• HTTP 히스토리/Repeater/Logger 활용
• 주의사항 & 모범사례

1. 준비물

• Burp Suite (Community 또는 Professional)
• 테스트용 브라우저(프로파일 권장) — 브라우저 확장/프록시 설정 가능
• 대상 시스템에 대한 명시적 테스트 허가(문서화된 허가권 권장)

2. Burp 시작 및 기본 설정

Burp를 실행하면 기본적으로 Proxy → Options 에서 리스닝 인터페이스(기본: 127.0.0.1:8080)가 설정되어 있습니다. 외부에서 접근시키려면 Listen interface를 0.0.0.0로 바꾸거나 추가 IP를 등록하세요(운영 환경에서는 주의).

1. Burp 실행 — jar 실행 또는 설치 앱 실행 (`java -jar burpsuite_*.jar`)
2. Proxy → Options에서 리스닝 포트 확인(기본 127.0.0.1:8080).
3. Project를 새로 만들고 저장 위치 선택(향후 재사용 권장).

3. 브라우저 프록시 설정과 CA 인증서 설치

HTTP/HTTPS 트래픽을 가로채려면 브라우저가 Burp를 프록시로 사용하도록 설정하고, HTTPS를 정상으로 보기 위해 Burp의 CA를 설치해야 합니다.

A. 브라우저에서 프록시 설정

• 프로필 브라우저(테스트 전용)를 사용하세요.
• 프록시: HTTP Proxy → 127.0.0.1, Port → 8080 (Burp 설정과 동일)
• 환경변수 방식: Linux/macOS에서 `export HTTP_PROXY=http://127.0.0.1:8080` 사용 가능

B. Burp CA 인증서 설치 (HTTPS 가로채기)

1. 브라우저에서 `http://burp` 접속 → CA Certificate 다운로드.
2. 브라우저의 신뢰 가능한 인증서 저장소에 CA 추가(운영 브라우저는 사용 금지).
3. 모바일 테스트 시 디바이스에 CA 설치 후 신뢰 처리 필요(iOS/Android 절차 상이).

4. 요청 가로채기(Intercept)

Burp의 핵심: Proxy → Intercept. 이 패널으로 들어온 요청을 허용/수정/포워드/드롭 할 수 있습니다.

1. Proxy → Intercept 탭에서 Intercept is on 상태로 둡니다.
2. 브라우저에서 요청을 발생시키면 요청이 멈춰서 Intercept 창에 표시됩니다.
3. 요청 헤더/바디를 수정하고 Forward를 눌러 서버로 전송하거나, Drop으로 차단합니다.
4. 수정 후 응답도 Intercept로 잡도록 설정하면 응답을 조작할 수 있습니다(주의!).

간단 예시(수정)

# 요청 헤더에서 불필요한 쿠키 제거
Cookie: session=abcd...; other=xyz
=> Cookie: session=abcd...
    

5. HTTP 히스토리, Repeater, Intruder 등 유용 도구

• Proxy → HTTP history — 가로챈(또는 프록시를 통과한) 요청·응답 로그를 시간순으로 보여줌.
• Repeater — 특정 요청을 재전송·수정해서 응답을 비교할 때 사용. 디버깅·파라미터 테스트에 유용.
• Intruder — 많은 페이로드를 자동으로 넣어 테스트할 때 사용(브루트·fuzz). Community 버전은 기능 제한.
• Decoder / Comparer — 인코딩/디코딩, 응답 비교에 유용.

팁: Repeater 로 복사 → 수정 → Send 반복하면서 문제 원인(파라미터/헤더 차이)을 찾으면 빠릅니다.

6. Scope(대상 범위) 설정 — 불필요한 트래픽 가로채기 방지

Target → Scope에 테스트 대상 도메인만 등록하면 그 외 트래픽은 자동으로 무시/로그만 남길 수 있어 안전합니다. 실수로 내부 서비스·서드파티를 가로채는 걸 방지하세요.

7. 로그 저장·프로젝트 관리

• Project 파일로 저장하여 세션 정보/설정을 보관하세요.
• 가로챈 요청·응답에는 민감정보(세션토큰·CI/DI 등)가 포함될 수 있으니 저장 시 마스킹 규칙을 적용하세요.

8. 주의사항 & 모범사례

• 항상 문서화된 허가 — 테스트 범위·기간·책임자 명시.
• 운영 트래픽은 가급적 금지 — 운영중 시스템에서 실험하면 서비스 중단 위험.
• HTTPS CA 설치는 테스트 브라우저에만 적용 — 시스템 전역 신뢰스토어에 추가하지 마세요.
• 민감정보 취급 주의 — 로그 저장·전달 시 개인정보보호 규정(예: 암호화/마스킹)을 준수하세요.
• 자동화 사용 시 부하 주의 — Intruder/Scanner는 대상에 큰 부하를 줄 수 있음.

9. *응답이 가로채기가 안될때*

요청에 대한 가로채기 선택 후 포워드 누르면 응답을 컨트롤 할 수 있게 됩니다!!

실습용 예제(테스트서버 + 단계별 실습 시나리오)를 만들어 드릴까요? 또는 Burp Repeater/Intruder 활용 예제(안전한 payload 목록 포함)를 원하면 댓글로 알려주세요.

원하시면  초급→중급 실습 자료(스크린샷 포함) 또는 회사 내부용 테스트 체크리스트(허가 문서 포함)을 만들어 드립니다.